La Importancia de la Preparación Forense (GE)

Casi todas las organizaciones dependen ahora, de una manera u otra, en la tecnología de la información. Esto ha llevado a una gran cantidad de desarrollo, así como el riesgo asociado. Por lo tanto, diferentes estrategias han evolucionado (y siguen evolucionando a medida que evoluciona la tecnología), en un intento de minimizar y mitigar el riesgo asociado.

En el caso de que el negocio de una organización se pone a un punto muerto por un evento no deseado o imprevisto, ya sea natural o artificial, el negocio necesita para recuperarse y continuar. Como resultado, las estrategias, tales como la respuesta a incidentes, la formación de la conciencia, la recuperación de desastres y planes de continuidad del negocio se han convertido en componentes básicos de la estructura operativa de las compañías.

Además de los problemas de recuperación, un incidente no deseado también puede dar lugar a otras cuestiones, como las reclamaciones de seguros, asuntos legales y cuestiones reglamentarias. En el curso de la recuperación y la investigación, las reclamaciones pueden presentarse en contra de los empleados, a terceros o incluso a la organización, por ejemplo, pertenecientes a lo que condujo al incidente. ¿Podría haber sido una negligencia, dolo, fraude o sabotaje? Evidencia digital se vuelve muy importante cuando tales cuestiones se plantean en una organización que utiliza IT infraestructura, incluso si el uso es mínimo. Herramientas y técnicas forenses digitales están disponibles para la recuperación y análisis de la evidencia digital. Los usuarios de los sistemas de información dejan huellas digitales cada vez que utilicen los sistemas-ya se trate de sistemas de computadoras, teléfonos inteligentes, teléfonos móviles, tabletas o redes (por ejemplo, Internet, intranets, redes telefónicas).

¿Qué es el análisis forense digital?

Análisis forense digital es un campo que aún está en evolución. Se puede definir como el uso de sistemas informáticos y de información (IS) el conocimiento, junto con el conocimiento legal, para analizar en una evidencia digital forma legalmente aceptable adquirida, procesada y almacenada en una forma que sea legalmente aceptable. forense digital tiende a ser utilizado principalmente para las investigaciones que están orientadas hacia las cuestiones jurídicas o policiales que pueden acabar en los tribunales; por lo tanto, el énfasis en la aceptación legal. Evidencia digital es extremadamente volátil y puede ser fácilmente perdido o distorsionado. Por lo tanto, existe la necesidad de preservar y manejar las pruebas digitales de una manera que se asegurará de que no lo es, y no parece haber sido, distorsionado o destruido. Sin embargo, forenses digitales herramientas y técnicas también se pueden utilizar para recuperar archivos perdidos y para la administración interna (tales como el seguimiento o la investigación de abuso). En pocas palabras, herramientas forenses y técnicas digitales se pueden utilizar para rastrear e investigar lo que puede haber ocurrido o dado lugar a un incidente, para recuperar los datos perdidos, y para reunir pruebas para el uso de una organización en contra de una persona o entidad, o para defender a la organización .

Se requiere la cadena de custodia (en lo sucesivo "la continuidad de las pruebas" en el Reino Unido) para proporcionar la seguridad de que la evidencia digital ha sido recopilada, procesada, manipulados y almacenados con el debido cuidado de manera que no ha sido alterado o destruido, o que tal no puede ser inferida. La cadena de custodia implica la documentación de cómo se adquiere la evidencia digital, procesados, manipulados, almacenados y protegidos, y que se encargó de las pruebas y por qué, desde el punto de recogida a que se presenta como una exposición (por ejemplo, en el tribunal o en una audiencia de la junta ).

Una organización puede llevar a cabo investigaciones digitales en su propio mediante el cual las pruebas no va a la corte, por ejemplo, para monitoreo de los empleados (cuando esto se considera aceptable). Tal caso no necesariamente requiere el manejo de la evidencia de una manera legalmente aceptable (cadena de custodia), pero existe la posibilidad de que dichas investigaciones podrían abrir una caja de Pandora: Algo que requiere una acción legal puede ser descubierto (por ejemplo, sabotaje, fraude ). En tal caso, la evidencia que se presenta en la corte debe ser recogida y documentada de manera jurídicamente aceptable para la admisibilidad. Forenses digitales también se pueden utilizar para investigaciones de auditoría y pueden ser muy útiles en la investigación de fraude. Los auditores pueden utilizar herramientas y técnicas forenses para supervisar y revisar el cumplimiento de las políticas de la organización y los requisitos reglamentarios. Por ejemplo, la ciencia forense digital puede ayudar a descubrir y rastrear el acceso no autorizado a Internet por los empleados, las lagunas y las vulnerabilidades en la red, y los incidentes de malware, como intrusiones y ataques pueden ser analizados para determinar cómo ocurrió la violación, para prevenir futuros ataques. Tener un plan de preparación forense en su lugar va un largo camino para asegurar dichas investigaciones y cualquier descubrimiento en ella puede ser manipulado y presentado para que la organización no pierde un caso.

¿Qué es la preparación forense?

CESG Guía de Buenas Prácticas N º 18, de preparación forense , define la disposición forense como: "El logro de un nivel adecuado de capacidad de una organización con el fin de que sea capaz de reunir, conservar, proteger y analizar la evidencia digital, de manera que esta prueba puede ser utilizado con eficacia en todos los asuntos legales, en materia disciplinaria, en un tribunal laboral o tribunal de justicia. "Otros definen disposición forense como la capacidad de una organización para maximizar su potencial de uso de la evidencia digital y reducir al mínimo el costo de una investigación.

En el curso de las operaciones, las organizaciones generan una gran cantidad de datos digitales y registros. Estos datos y los registros pueden convertirse en piezas clave de evidencia en el caso de un incidente no deseado. Parte de esta evidencia digital es almacenado y conservado como parte de los procesos de recuperación de desastres y continuidad del negocio, así como las políticas de retención de documentos. Estos pueden ser en forma de archivos de copia de seguridad. Los registros de monitoreo (por ejemplo, imágenes de CCTV) también forman parte de la evidencia digital. Todavía hay otra evidencia digital que no puede ser tomado en serio, y puede ser necesaria sólo en el caso de un incidente, que podría no ser de fácil acceso, en todo caso, cuando una investigación se hace necesaria. Tal evidencia puede estar en la forma de comunicación informal, como correos electrónicos, mensajes de redes sociales, y la actividad que se llevó a cabo en estaciones de trabajo y dispositivos móviles.  No es fácil de pronosticar cuando la evidencia digital puede llegar a ser necesario; además, el uso podría ser para fines internos, requisitos regulatorios o legales, u otras razones externas. Preparación forense ayuda a una organización a optimizar sus actividades de manera que la recuperación de evidencia digital se hace fácil con molestias reducidas. Es decir, la evidencia digital quede debidamente registrado y almacenado incluso antes de se produzca un suceso, sin interrupción de las operaciones. La siguiente es una lista de los escenarios en los que podría resultar necesario evidencia digital:

·         Transacciones en disputa

·         Las acusaciones de mala conducta del empleado

·         Mostrando el cumplimiento legal y regulatorio

·         La evitación de la negligencia y los cargos por incumplimiento de contrato

·         Ayudar a las investigaciones policiales

·         Cumplir con los requisitos de divulgación en las demandas civiles

·         Apoyar las reclamaciones de seguros cuando se produce una pérdida.

La naturaleza altamente volátil de la evidencia digital exige que sea tratado con delicadeza por la salvaguardia de la cadena de custodia. Tener un plan de preparación forense en lugar asegura que, en caso sea necesario presentar pruebas digitales, será de fácil acceso y en una forma aceptable. Esto requiere de la capacitación del personal y contar con políticas adecuadas en el lugar para garantizar su cumplimiento. Planificación de la preparación forense complementa otros planes y procesos de la organización, incluida la recuperación de desastres, continuidad de negocio y las políticas de retención de documentos. Los procesos de recuperación de desastres y continuidad de negocio convencionales suelen concentrarse en eventos low-frequency/high-impact; un plan de preparación forense sería, sin embargo, a los eventos high-frequency/low-impact también. 7 Mientras que estos últimos tienden a parecer insignificantes, pueden ser la causa o la fuente de un desastre mayor.

Planificación de la preparación forense es parte de un enfoque de gestión de riesgos de la información de calidad. Las áreas de riesgo deben ser identificados y evaluados, y se deben tomar medidas para evitar y reducir al mínimo el impacto de dicho riesgo. Las organizaciones con un buen marco de seguridad de la evaluación del riesgo y la información les resultaría más fácil adoptar un plan de preparación forense. 8 Un plan de preparación forense debe tener los siguientes objetivos: 

·         Para reunir pruebas admisibles legalmente sin interferir con los procesos de negocio

·         Para reunir pruebas focalización posibles delitos y disputas que puedan tener efectos adversos en una organización

·         Para permitir que las investigaciones para proceder a costos proporcionales al incidente

·         Para reducir al mínimo la interrupción de las operaciones por las investigaciones

·         Para asegurar que los impactos en la evidencia positiva sobre el resultado de cualquier acción legal

Beneficios de la Planificación de Preparación Forense

Los beneficios de la planificación de la preparación forense incluyen:

·         Preparación para la posible necesidad de evidencia digital. En el caso de que una organización tiene que ir a un litigio en el que se requiere la evidencia digital, habrá una necesidad de descubrimiento electrónico (e-discovery). Leyes relativas a la detección electrónica, incluyendo las reglas de EE.UU. Federal de Procedimiento Civil (FRCP) y directriz práctica del Reino Unido 31B, requieren pruebas electrónicas que se presten con rapidez y de una manera válida a efectos legales cuando se le solicite. Gestión de la información es la primera fase (ver figura 1 ) del modelo de referencia de Descubrimiento Electrónico (EDRM), que se considera un estándar para pasar por el proceso de e-discovery y cumplimiento de FRCP. 10 Gestión de la información requiere, en parte, que las pruebas electrónicas ser recogido y almacenado de manera apropiada de manera que es fácilmente disponible cuando se solicite. Gestión de información para la detección electrónica incluye la retención de datos, respuesta a incidentes, recuperación de desastres y continuidad del negocio políticas-todas las cuales se complementan con una política de preparación forense o plan. Por ejemplo, en el caso de AMD vs Intel, AMD había solicitado algunas pruebas de correo electrónico de Intel para el descubrimiento, pero Intel no han producido debido a una política defectuosa retención de correo y al no comunicar correctamente la retención por juicio a los empleados (por ejemplo, Intel no informó apropiadamente a los empleados el uso de sistemas relevantes para el caso y de su departamento de TI que la información almacenada electrónicamente de los empleados [ESI] se requiere como evidencia), dando lugar a sanciones severas contra Intel. 11 En 2009, Intel acordó resolver con AMD para EE.UU. $ 1250 millones; la empresa podría haber evitado este costo si tuviera un plan de preparación forense en su lugar.

·         Reducir al mínimo el costo de las investigaciones. Dado que la evidencia se recoge en previsión de un incidente, cuesta, así como la interrupción de las operaciones son mínimas y las investigaciones son eficiente y rápidamente completó. Dado que la evidencia ya está reunida, el investigador sólo tiene que analizar y revisar los registros de la red, por ejemplo, con el fin de reunir las pruebas con relación al incumplimiento de la red. Esto hace que las investigaciones más rápido y más eficiente y al mismo tiempo reducir los efectos adversos de interrumpir el trabajo o la producción de los empleados.

·         El bloqueo de la oportunidad para los insiders maliciosos para cubrir sus huellas. Además, dado que las personas tomen conciencia de que la evidencia se está recogiendo constantemente, se les disuade de llevar a cabo actividades maliciosas por temor a ser capturado. Monitoreo y recopilación de información constante ayudar en la detección de la actividad de información privilegiada maliciosos. Si un miembro del personal traviesa, por ejemplo, está tratando de suplantar la dirección IP de otra persona para enviar un correo electrónico desagradable con el jefe ejecutivo o infectar la red corporativa con malware: Tener un plan de preparación forense en el lugar hace que sea fácil de descubrir y rastrear tales actividad.

·         Reducción de los costes de los requisitos reglamentarios o legales para la divulgación de los datos. Teniendo la evidencia fácilmente a la mano y conservado de una manera aceptable hace posible para que pueda ser presentado fácilmente cuando y como sea necesario. Como se ilustra en el caso de AMD vs Intel, existe un considerable riesgo financiero cuando la información no se gestiona adecuadamente. Un plan de preparación forense ayuda a aumentar otras estrategias de seguridad de la información y de seguros, tales como la retención de datos, recuperación de desastres y continuidad del negocio. Los requisitos reglamentarios en muchos países requieren este tipo de estrategias y políticas, y la falta de cumplimiento puede resultar en sanciones financieras severas. Puede haber casos en los que las autoridades reguladoras o autoridades competentes podrán solicitar la liberación inmediata o la divulgación de cierta ESI, por ejemplo, en el caso de actividades sospechosas de terrorismo o el financiamiento de una organización o de sus empleados. La omisión de dicha ESI de una manera apropiada y oportuna podría resultar en costos adversos graves, como la pérdida del fondo de comercio y las sanciones reglamentarias, a una organización.

·         Mostrando la debida diligencia, el buen gobierno corporativo y cumplimiento normativo. Tener buenas políticas de gestión de la información, como una política de preparación forense, muestra una organización es en la parte superior de la prevención y respuesta a incidentes. Esto ayuda a la buena voluntad Garner para la organización, proporcionando a los clientes la sensación de que sus transacciones son seguras y protegidas. Los inversores también tienen más confianza en una organización que tiene como el estado de alerta de seguridad, ya que garantiza que las amenazas a sus inversiones se reducen al mínimo. También ayuda a fomentar las buenas relaciones con las autoridades de reglamentación y aplicación de la ley, ya que demuestra que la organización va más para asegurar el cumplimiento con las leyes y reglamentos, por lo que el trabajo de los reguladores y aplicación de la ley más fácil. En el caso de un incidente, que hace que el trabajo de los investigadores mucho más fácil porque la evidencia que ya se ha reunido antes, durante y después del incidente.

·         El descubrimiento de los casos más grandes. En la supervisión del uso aceptable de los puntos finales, el malware puede ser descubierto de haber infiltrado en un sistema y su fuente posteriormente trazado, ayudando a proteger contra este tipo de ataques en el futuro. Este es sólo un ejemplo de cómo un incidente potencial puede ser descubierto antes de que sea un suceso, o detecta en su infancia antes de que sea un problema grave. Por otra parte, las mayores amenazas cibernéticas pueden ser descubiertos, rastrear y prevenir, por ejemplo, el acoso, el fraude, la extorsión, el robo de propiedad intelectual. En general, hay una mayor seguridad de la información.

Una Guía de preparación forense de Aplicación

Un plan de preparación forense está destinado a preparar a la organización para un evento de la ocurrencia de los cuales no se puede predecir. En la preparación, la organización debe revisar y analizar los controles de seguridad técnica, políticas, procedimientos y sistemas de la habilidad. Esto puede llevarse a cabo por un investigador forense experto, que puede recomendar modificaciones apropiadas y acciones que se pueden tomar para mejorar lo que está en su lugar y asegurar un buen plan de preparación forense.

Las metas y objetivos de la organización y su apetito de riesgo deben ser identificados, la postura de seguridad analizó, empleados educados e iluminados en el plan de preparación forense, y el plan de acción formulados para tratar las deficiencias detectadas en el status quo . Conocer las metas, los objetivos y el apetito de riesgo ayuda a determinar lo que se considera un riesgo significativo o relevante, ¿qué tipo de incidentes se debe esperar, y cómo responder a ellos. El nivel actual de seguridad debería entonces ser revisado para verificar su adecuación y exponer las lagunas potenciales. Los empleados deben ser informados y educados sobre el plan de preparación forense para garantizar su cumplimiento. Por último, las lagunas identificadas son mitigados mediante el establecimiento de las medidas apropiadas.

El Informe de Carolina del Delito ofreció los siguientes 10 puntos para una lista de comprobación de preparación forense:

1.       Definir los escenarios de negocio que requieren evidencia digital. Esto ayuda a agilizar dónde y cómo concentrar almacenamiento recopilación de pruebas.

2.       Identificar fuentes de pruebas potenciales y los tipos de pruebas.

3.       Determinar los requisitos de recolección de evidencia.

4.       Establecer la capacidad para reunir pruebas, y la colección de una manera válida a efectos legales.

5.       Establecer una política para la cadena de custodia.

6.       Asegurar el seguimiento de la detección y disuasión de los incidentes importantes objetivos.

7.       Determine los supuestos en que punto la escalada de una investigación formal, lleno digitales debe iniciarse.

8.       Educar y capacitar al personal de respuesta a incidentes y la conciencia para asegurarse de que comprendan su papel en el proceso de pruebas digitales y de la importancia y la sensibilidad de la misma.

9.       Documentar los casos basados ​​en la evidencia, la descripción del incidente y sus consecuencias.

10.   Asegúrese de revisión legal para facilitar la acción apropiada en respuesta a un incidente.

Un auditor de TI realizar una evaluación de la preparación forense debe comprobar que los puntos anteriores se pueden deducir de la política de preparación forense de una organización.

Conclusión

El aumento del uso y la dependencia de la tecnología de información para las organizaciones y negocios funcionando han dado lugar a la disponibilidad de huellas digitales que se pueden utilizar para desentrañar el qué, dónde, cómo y por qué en el caso de un incidente no deseado. Evidencia digital puede dar lugar a la acusación o la reivindicación de un individuo u organización. Evidencia digital tiene que ser recogido y tratado con el debido cuidado, por lo general mediante la aplicación de los requisitos de la cadena de custodia, debido a su alta volatilidad.

Mientras que muchas organizaciones son actualmente conscientes de la importancia y la necesidad de planes de recuperación de desastres y continuidad de negocio, sino que también deben reconocer la necesidad y la importancia de la planificación de la preparación forense. La tendencia es a ser reactiva, a la espera de un incidente que ocurra a continuación, tratando de manejarlo y llevar a cabo investigaciones, recopilación de pruebas después de los hechos. Como resultado, las operaciones de convertirse interrumpido, algunas pruebas pueden ser alterados o se pierden, y pruebas no pueden ser manejados de una manera aceptable. Disposición Forense minimiza en gran medida estos problemas, sobre todo porque gran parte de la evidencia requerida está disponible antes del incidente, durante el incidente y antes de comenzar las investigaciones. Como se guardan resultado, el tiempo y el dinero, los incidentes potenciales son mitigados, y la continuidad del negocio y el cumplimiento se garantiza, con una interrupción mínima y la interrupción de las operaciones. Preparación forense también ayuda a asegurar el cumplimiento de los empleados con las políticas de la organización y los requisitos reglamentarios debido a la vigilancia y revisión constante.